1.

POLITICA Y NORMATIVA
1.1. OBJETIVO
Brindar la información necesaria a los usuarios del Instituto, sobre las normas y
mecanismos que deben cumplir y utilizar para proteger el hardware y software
de la red institucional de BELLAS ARTES, así como la información que es
procesada y almacenada en estos.
 Impedir el acceso no autorizado a los sistemas de información, bases de
datos y servicios de información.
 Implementar seguridad en los accesos de usuarios por medio de
técnicas de autenticación y autorización.
 Controlar la seguridad en la conexión entre la red del Organismo y otras
redes públicas o privadas.
 Registrar y revisar eventos y actividades críticas llevadas a cabo por los
usuarios en los sistemas.
 Concientizar a los usuarios respecto de su responsabilidad frente a la
utilización de contraseñas y equipos.
 Garantizar la seguridad de la información cuando se utiliza computación
móvil e instalaciones de trabajo remoto.

1.2. SEGURIDAD DE LOS RECURSOS INFORMATICOS

1.2.1. POLITICAS DE SEGURIDAD

DEPARTAMENTO DE REDES Y COMUNICACIONES

Art. 1. Normar el correcto uso de los servicios de Internet y correo

electrónico en el INBAL.

Art. 2. Establecer las medidas y mecanismos de control, monitoreo y

seguridad, tanto para los accesos a páginas o sitios de Internet, como para
los mensajes de correo con contenidos u orígenes sospechosos.

Art. 3. Que las conexiones a Internet cuenten con elementos de prevención,

detección de intrusos, filtros contra virus, manejo de contenidos, entre
otros, que afectan la integridad de los sistemas y la información
institucionales.
Art. 4. Reducir el tráfico de mensajes, paquetes o transacciones no
permitidos, que saturan la infraestructura de telecomunicaciones y generan
actividad innecesaria en los servidores.

Art. 5. De acuerdo con la demanda de servicios, establecer prioridades,

dando la más alta a las actividades consideradas esenciales para fomentar
la educación y las artes, objetivo primordial del INBAL.

Art. 6. Controlar, suspender o revocar los códigos de acceso a cualquier

usuario que haga mal uso de los recursos, viole las políticas de seguridad
o interfiera con los derechos de otros usuarios.

ADMINISTRADORES DE RED

Art. 1. Configurar los servidores de correo electrónico e Internet y de los

equipos de cómputo en general.

Art. 2. Instalar y actualizar los antivirus y sistemas operativos, así como

tener al día en los en servidores asignados y las actualizaciones.

Art. 3. Llevar un registro y control de las direcciones IP de los equipos

conectados a la red con acceso a Internet y la información de los usuarios,
así como notificar al Departamento de Redes y Comunicaciones de las altas
y bajas de usuarios para los servicios de correo electrónico e Internet.

Art. 4. Proporcionar al Departamento de Redes y Comunicaciones la

documentación actualizada de la red local: planos de cableado, ubicación
del equipo y relación de las asignaciones de direcciones IP.

Art. 5. Administrar los servicios locales de red como son www, correo
electrónico, servidor de FTP y servidores de aplicaciones en red.

Art. 6. Solucionar fallas menores como son: cables desconectados, pérdida

de, suministro de energía eléctrica en los equipos de datos, des
configuración de las computadoras de los usuarios o direcciones IP
repetidas.
 Art. 7. Supervisar el cumplimiento de las políticas y lineamientos
institucionales.

DEPARTAMENTO DE SOPORTE TÉCNICO.

Art. 1. Brindar mantenimiento preventivo y/o correctivo únicamente al

equipo que cuente con número de inventario, o se encuentre en comodato,
debiendo en este último caso enviar a la DSI copia del contrato
correspondiente.

Art. 2. Realizar respaldos diarios de la información contenida en los

servidores del Instituto.

RECURSOS HUMANOS

Art. 1. El empleado no tiene ningún derecho sobre la información que

procese dentro de las instalaciones de la red institucional del INBAL.

Art. 2. La información que maneja o manipula el empleado, no puede ser

divulgada a terceros o fuera del ámbito laboral.

Art. 3. El usuario se norma por las disposiciones de seguridad informática

del INBAL.

Art. 4. Conocer y obedecer las políticas de seguridad establecidas en el

presente documento, las cuales, una vez aprobadas se publicarán para su
divulgación en la página institucional del INBAL

1.2.2. EXEPCIONES A LAS POLITICAS DE SEGURIDAD

Art. 1. Los respaldos de información deberán ser almacenados en un sitio

aislado y libre de cualquier daño o posible extracción por terceros dentro de
la institución.

Art. 2. Los utilizarán únicamente en casos ya que su contenido es de suma

importancia para la institución.
 Art. 3. El INBAL debe contar con respaldos de información ante cualquier
incidente.

1.2.3. CLASIFICACION Y CONTROL DE ACTIVOS EN LA EMPRESA

Responsabilidad por los activos.

Art. 1. Los titulares y administradores de los centros de trabajo del INBAL,

son responsables de los activos que se encuentran bajo su resguardo.

Art. 2. Los jefes de cada departamento del INBAL, son responsables de

mantener o proteger los activos de mayor importancia.

1.2.4. CLASIFICACION Y CONTROL DE LA INFORMACION DE LA

EMPRESA

Clasificación de la información

Art. 1. Cada jefe de departamento dará importancia a la información en

base al nivel de clasificación que demande el activo.

Art. 2. La información pública puede ser visualizada por cualquier persona

dentro o fuera de la institución

Art. 3. La información confidencial es propiedad absoluta del INBAL, el

acceso a ésta es permitido únicamente a personal administrativo
autorizado.

Art. 4. Los niveles de seguridad se detallan como nivel de seguridad bajo,

nivel de seguridad medio y nivel de seguridad alto.

Art. 5. La DSI tendrá la responsabilidad de priorizar una situación de la otra

en cuanto a los problemas en las estaciones de trabajo.

Art. 6. La DSI implementará un Plan de Contingencia que indique

 claramente, qué hacer en caso de presentarse una situación extraordinaria.

Art. 7. En situaciones de emergencia que impliquen áreas de atención al

cliente entre otros, se dará prioridad en el siguiente orden:

a) Área financiera y de personal

b) Área educativa y de investigación
c) Área administrativa

1.3. CONTRATACION DEL PERSONAL

Art. 1 En cada puesto de vigilancia y control de acceso, se tendrá un registro de

las entradas y salidas del personal, visitantes, proveedores, así como una
bitácora que registre material o quipos que se introduzcan o salgan del Centro
de Datos.

Art. 2 Sin excepción, todos los empleados deberán portar en un lugar visible la
credencial vigente y autorizada para ingresar o permanecer en la instalación.

Art. 3 Queda prohibido el préstamo o intercambio de gafetes de identificación

Art. 4 En caso de no contar con la credencial vigente para ingresar a las

instalaciones, el empleado deberá registrarse en el módulo de vigilancia y
obtener contra entrega de una identificación oficial con fotografía, el gafete de
empleado, mismo que deberá portar en un lugar visible todo el tiempo que
permanezca dentro de las inhalaciones.

Art. 5 Sin excepción, toda bolsa, portafolio, mochila, paquete o bulto que se
pretenda introducir o sacar de las instalaciones, será sujeto a revisión por el
personal de seguridad en forma física y/o utilizando la banda de rayos x.

Art. 6 Queda estrictamente prohibido el acceso a las instalaciones a todo

empleado en visible estado de ebriedad o bajo los efectos de drogas.

Art. 7 En el caso de las áreas que requieran la fluctuación de personal por

turnos, deberán de notificar y mantener actualizadas las listas de empleados
autorizados.
2. PRODUCCION DE INFORMACION
2.1. RESPECTO A LA PROPIEDAD DE INFORMACION

Art. 1. El INBAL se reserva el derecho de respaldo, a usuarios académicos,

artísticos o administrativos, ante cualquier asunto legal relacionado a
infracciones a las leyes de copyright o piratería de software.

Art. 2. Todo el software comercial que utilice el INBAL, deberá estar legalmente
registrado en los contratos de arrendamiento o adquisición, con sus respectivas
licencias y facturas de compra.

Art. 3. La adquisición de software por parte del personal que labore en el INBAL,
no expresa el consentimiento de la institución, la instalación del mismo, no
garantiza responsabilidad alguna para el INBAL, por ende la institución no se
hace responsable de las actividades de sus empleados.

Art. 4. Tanto el software comercial como el software libre son propiedad

intelectual exclusiva de sus desarrolladores, el INBAL respeta la propiedad
intelectual y se rige por el contrato de licencia de sus autores.

Art. 5. El software comercial licenciado al INBAL, es propiedad exclusiva de la

institución, la misma se reserva el derecho de reproducción de éste, sin el
permiso de sus autores, respetando el esquema de cero piraterías.

Art. 6. En caso de transferencia de software comercial a terceros, se harán las

gestiones necesarias para su efecto y se acataran las medidas de
licenciamiento relacionados con la propiedad intelectual.

Art. 7. Cualquier cambio en la política de utilización de software comercial o

software libre, se hará documentado y en base a las disposiciones de la
respectiva licencia.

Art. 8. El software desarrollado internamente por el personal que labora en el

INBAL es propiedad exclusiva de la institución.

Art. 9. La adquisición del software comercial o libre, deberá ser gestionado con
 las autoridades correspondientes y acatando sus disposiciones legales, en
ningún momento se obtendrá software de forma fraudulenta.

2.2. RESPECTO ALA CAPACITACION

Art. 1. Capacitar a los empleados de la institución, en temas de seguridad,

adoptando un estricto control de las técnicas más comunes de persuasión de
personal (Ingeniería Social).

Art. 2. La preparación y capacitación del personal en materia de seguridad

informática, según su participación en el sistema diseñado, ya sea a través de
cursos específicos, mediante la impartición de materias relacionadas con el
tema u otras medidas de divulgación.

3. SEGURIDAD EN LOS SISTEMAS DE INFORMACION

Control del acceso a usuarios de la red institucional del inbal

Art. 1. La documentación de seguridad será resguardada por la DSI, esto incluye

folletos, guías, formularios, controles, etc.
Art. 2. La elaboración de la documentación relacionada con formularios, guías, etc.,
será elaborada por la DSI.
Art. 3. El personal encargado de brindar los servicios de comunicaciones no está
autorizado a brindar ninguna clase de servicios, mientras no se haya seguido el
procedimiento establecido para ello.
Administración del acceso a usuarios a los servicios informáticos del inbal

Art. 1. El acceso a los sistemas y servicios de información es permitido únicamente

a los usuarios que dispongan de los permisos necesarios para su ejecución.

Art. 2. El usuario deberá proveer toda la información necesaria para poder brindarle
los permisos necesarios para la ejecución de los servicios de la red institucional del
INBAL.

Art. 3. Se brindará a los usuarios el acceso a los servicios de correo electrónico e

Internet del INBAL, siempre que cumplan con el procedimiento establecido.

Art. 4. El usuario de correo electrónico e Internet deberá limitarse a atender los

 requerimientos del Instituto, en el desempeño de las funciones encomendadas a su
puesto y apegándose a la normatividad establecida.

Art. 5. Las claves de acceso son personales e intransferibles

Art. 6. Las contraseñas o password asignados a los usuarios, deberán ser de 6

caracteres como mínimo y 8 como máximo, debiendo combinarlo con una letra
mayúscula al inicio y un carácter especial al final.

4. SEGURIDAD EN EL USO DE INTERNET, VPN O DIRECTORIO ACTIVO

Usos aceptables de los servicios de Internet.

Art. 1. La comunicación entre artistas, académicos y personas relacionadas con
labores administrativas, siempre y cuando exista un intercambio mutuo y en
condiciones recíprocas

Art. 2. Comunicación e intercambio con la comunidad académica, artística u otras

instituciones, con el fin de tener acceso a los últimos avances relacionados con la
especialidad del personal.

Acceso a sitios y contenidos no autorizados.

Art. 1. Cualquier actividad que sea lucrativa o comercial de carácter individual,
privado o para negocio particular.

Art. 2. Para garantizar la seguridad de la información y el equipo informático, la DSI

establecerá filtros y medidas para regular el acceso a contenidos en el cumplimiento
de esta normatividad; por lo tanto, se prohíbe:

 La transmisión de materiales en violación de cualquier regulación establecida

por el Gobierno Mexicano. Esto incluye materiales con derechos de
propiedad intelectual.
 Utilizar los servicios de comunicación, incluyendo el correo electrónico o
cualquier otro recurso, para intimidar, insultar o acosar a otras personas, o
interferir con el trabajo de los demás, provocando un ambiente de trabajo no
deseable dentro del contexto de las políticas del INBAL.
 Utilizar los recursos del INBAL para el acceso no autorizado a redes y
sistemas remotos.
  Provocar deliberadamente el mal funcionamiento de computadoras,
estaciones terminales periféricos de redes y sistemas.
 Monopolizar los recursos en perjuicio de otros usuarios, incluyendo: el envío
de mensajes masivamente a todos los usuarios de la red, iniciación y
facilitaciones.

Control de acceso a la red.

Art. 1. El Departamento de Redes y Comunicaciones diseñará los

mecanismos necesarios para proveer acceso a los servicios de la red
institucional del INBAL.

Art. 2. Los mecanismos de autenticación y permisos de acceso a la red,

deberán ser evaluados y aprobados por la DSI.

Art. 3. El Departamento de Redes y Comunicaciones, hará evaluaciones

periódicas a los sistemas de red, con el objetivo de eliminar cuentas de
acceso sin protección de seguridad y componentes de red comprometidos.

Art. 4. El Departamento de Redes y Comunicaciones, verificará que el tráfico

de red sea estrictamente normal, la variación de este sin ninguna razón obvia
pondrá en marcha técnicas de análisis concretas.

Art. 5. Los dispositivos de red estarán siempre activos y configurados

correctamente para evitar anomalías en el tráfico y seguridad de información
de la red institucional del INBAL.

5. SEGURIDAD EN ACCESO DE APLICACIONES

Art. 1. Las aplicaciones deberán contar con su respectiva documentación, la cual

será entregada a los usuarios.

Art. 2. El usuario tendrá los permisos de aplicaciones necesarios para ejercer su

trabajo.

Art. 3. Se establecerán niveles de acceso para los usuarios que hagan uso de las
aplicaciones desarrolladas en la DSI.
 Art. 4. Los niveles de acceso serán definidos por los Titulares de los Centros de
Trabajo que soliciten el desarrollo de algún sistema, en base a lo importante o crítico
de la información que se procesará.

Art. 5. Antes de ser puestas en ejecución las aplicaciones, deberán realizarse

pruebas sobre fallos, información errónea que puedan procesar y seguridad de
acceso.

Art. 6. La información será visualizada únicamente en terminales previamente

definidas, ya sea mediante direccionamiento de hardware o direccionamiento IP.

Art. 7. En el registro de sucesos del sistema, se registrarán todas las actividades

realizadas por los usuarios.

6. SEGURIDAD SOBRE LA INSTACION DE SOFTWARE NO AUTORIZADO

PROTECCIÓN CONTRA SOFTWARE MALICIOSO

Art.1. Para prevenir contaminaciones por virus informático, los usuarios del INBAL
sólo utilizarán el software que haya sido valorado y asignado por la DSI.

Art. 2. Los usuarios de equipo de cómputo del INBAL, deberán verificar que la
información y los medios de almacenamiento, considerando al menos discos
flexibles, cds, cintas y cartuchos, estén libres de cualquier tipo de código malicioso,
para lo cual deberán ejecutar el software antivirus autorizado e instalado por la DSI.

Art. 3. Todos los archivos de computadora que sean proporcionados por personal
interno o externo, considerando bases de datos, documentos y hojas de cálculo que
tengan que ser descomprimidos, deberá verificarse que no contenga ningún tipo de
virus antes de su ejecución.

Art. 4. Ninguna persona del INBAL, deberá intencionalmente escribir, generar,

compilar, copiar, propagar, ejecutar o tratar de introducir código de computadora
diseñado para auto replicarse, dañar, o en otros casos, impedir el funcionamiento
de cualquier memoria de computadora, archivos de sistema o software. Menos aún,
probarlos en cualquiera de los ambientes o plataformas del INBAL.

Art. 5.Ningún usuario, empleado o personal externo, podrá bajar o descargar

software de sistemas, boletines electrónicos, sistemas de correo electrónico, de
mensajería instantánea y redes de comunicaciones externas, sin la previa
autorización de la DSI.

Art. 6. Cualquier usuario que sospeche de alguna infección por virus en su equipo
de cómputo, deberá notificarlo inmediatamente al Departamento de Soporte Técnico
de la DSI para su erradicación.

Art. 7. Los usuarios no deberán alterar o eliminar las configuraciones de seguridad

para detectar y/o prevenir la propagación de virus que sean implantadas por el
INBAL en: antivirus, outlook, office, navegadores u otros programas.